ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Data de detecção | 01/11/2002 |
Classe | Email-Worm |
Plataforma | VBS |
Descrição |
Detalhes técnicosEsta é uma família de worms da Internet que usam diferentes tecnologias de infecção, dependendo de suas versões. Existem dois worms "básicos": "Lee.a" e "Lee.b". O primeiro se espalha através dos canais de IRC, e o segundo usa o MS Outlook para enviar e-mails infectados. Outras versões do worm são modificações e / ou combinações desses originais. Todos os worms são escritos em Visual Basic Script Language (VBS). I-Worm.Lee.aEste é um verme simples. Ele se espalha pelos canais de IRC enviando um arquivo infectado para computadores conectados ao mesmo canal que o computador infectado. Quando o worm é ativado por um usuário, ele se copia para uma pasta do sistema Windows com o nome "McAffe.vbs". Em seguida, o worm localiza um diretório no qual o cliente mIRC está instalado e cria o arquivo "SCRIPT.INI" nesse diretório que contém comandos para o cliente mIRC. O worm grava, neste arquivo, comandos para enviar um arquivo infectado para cada computador conectado ao mesmo canal do computador infectado. Depois de criar um arquivo "SCRIPT.INI", o worm cria uma marca no registro do sistema, assim, na hora seguinte, o worm não criará um arquivo "SCRIPT.INI" se esta marca estiver presente. O worm não tem rotina de carga útil. I-Worm.Lee.bEste worm se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia o mesmo número de mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook. O vírus funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windwos 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços disponíveis apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente na instância em que uma dessas versões do MS Oulook está instalada. EspalhandoO worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm contém o seguinte:
Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima. Para impedir que mensagens duplicadas sejam enviadas de um computador já infectado, o worm cria uma marca no registro do sistema. O worm não envia mensagens se esta marca estiver presente. O worm não tem rotina de carga útil. I-Worm.Lee.cEsta variante do worm é muito próxima da variante "Lee.b". Tem algumas alterações e adições no seu código: Uma mensagem infectada contém:
Quando o worm é ativado, ele se copia para o diretório do Windows com o nome "Picard.vbs" e registra esse arquivo no registro do sistema na seção autostart:
Como resultado, o worm é ativado em cada inicialização do Windows. Uma sequência de comentários é adicionada ao início do código:
I-Worm.Lee.dIsso é híbrido das variantes "Lee.a" e "Lee.b". A mensagem infectada contém:
O warm tem string de comentário no final do código:
I-Worm.Lee.eO mesmo que "Lee.d", mas adicionalmente se registra no registro do sistema na seção autostart:
Como resultado, o worm é ativado em cada inicialização do Windows. A mensagem infectada contém:
I-Worm.Lee.fEsta é uma ligeira variante polimórfica de "Lee.c". Ele contém uma rotina que altera aleatoriamente nomes de variáveis no código do worm. A mensagem infectada contém:
|
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |